日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用Falco檢測漏洞CVE-2020-8554

漏洞概述

創(chuàng)新互聯(lián)主要從事成都做網(wǎng)站、網(wǎng)站設計、外貿(mào)營銷網(wǎng)站建設、網(wǎng)頁設計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務。立足成都服務無棣,十余年網(wǎng)站建設經(jīng)驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:028-86922220

漏洞CVE-2020-8554是一個能夠影響多用戶Kubernetes群集的漏洞,如果潛在的攻擊者可以創(chuàng)建或編輯服務和Pod,那么他們就可以攔截來自集群中其他Pod或節(jié)點的流量了。

攻擊者如果能夠創(chuàng)建一個ClusterIP服務并設置.spec.externalIPs字段的話,他們就能夠攔截全部到該IP的流量。除此之外,攻擊者還可以修復LoadBalancer服務的狀態(tài),并通過設置status.loadBalancer.ingress.ip來實現(xiàn)類似的效果。通常來說,這種都屬于特權操作,一般不會授予普通用戶去進行操作訪問。

這個漏洞屬于Kubernetes設計缺陷,如果不對用戶層面的運行機制進行修改的話,該漏洞將很難被修復或緩解。

安全按等級

中危

漏洞分析

Kubernetes (簡稱K8s)是是一個開源的,用于管理云平臺中多個主機上的容器化的應用,Kubernetes的目標是讓部署容器化的應用簡單并且高效,Kubernetes提供了應用部署、規(guī)劃、更新、維護的一種機制。K8s 最早是由谷歌開發(fā)的,目前由Cloud Native Computing Foundation 基金會維護。

研究人員在K8s 中發(fā)現(xiàn)一個影響所有K8s版本的設計漏洞,允許租戶創(chuàng)建和更新服務的多租戶集群成為最易受到攻擊的目標。如果攻擊者可以創(chuàng)建或編輯服務或pod,可能就可以攔截集群中來自其他pod的流量。如果用任意的外部IP 來創(chuàng)建一個服務,集群中到該IP 的流量就會被路由到該服務,這樣有權限利用外部IP 來創(chuàng)建服務的攻擊者就可以攔截到任意目標IP的流量。

CVE-2020-8554漏洞是中危漏洞,有創(chuàng)建和編輯服務和pod等基本租戶權限的攻擊者可以在沒有任何用戶交互的情況下遠程利用該漏洞。

由于External IP (外部IP)服務并沒有廣泛應用于多租戶集群中,而且授予租戶LoadBalancer IP 的補丁服務/狀態(tài)權限并不推薦,因此該漏洞只影響少量的Kubernetes 部署。

使用Falco檢測CVE-2020-8554

檢測針對該漏洞的漏洞利用嘗試或攻擊活動是防范此類網(wǎng)絡攻擊的關鍵,我們現(xiàn)在可以使用Falco來在主機和容器層面檢測針對該漏洞的而已活動。Falco是CNCF的開源項目,可以用于容器和Kubernetes的運行時威脅檢測。

Falco的好處之一是其功能強大而靈活的規(guī)則語言,當Falco發(fā)現(xiàn)由一組可定制的規(guī)則定義的異常行為時,它將為我們生成并報告安全事件。與此同時,F(xiàn)alco還提供了一些現(xiàn)成的檢測規(guī)則可供我們使用。

接下來,我們一起看一看如何使用Falco來檢測何時有人試圖使用外部IP創(chuàng)建集群類型的服務事件。

如前文所述,漏洞CVE-2020-8554是由Kubernetes設計缺陷造成的。它允許具有創(chuàng)建/修復服務權限的用戶將網(wǎng)絡流量重定向到外部IP地址。大多數(shù)情況下,當一個只用于內部通信的服務被創(chuàng)建時,一個私有IP地址被分配給這個服務。

由于這是一個私有IP地址,那么Kubernetes集群中就沒有人可以訪問這種服務了。不過,用戶還可以給這個服務配置并綁定一個外部IP地址。

實際上,這種操作行為是符合規(guī)范的。但是,惡意攻擊者也可以利用該功能來執(zhí)行中間人(MitM)攻擊。

Falco規(guī)則:檢測綁定外部IP地址的Kubernetes服務

如果你認為自己受到了漏洞CVE-2020-8554的影響,可以使用下列Falco規(guī)則來進行漏洞檢測:

 
 
 
    
  
  
  
  1. - macro: service_with_external_IP 
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3.   condition: (jevt.value[/requestObject/spec/externalIPs] exists and jevt.value[/requestObject/spec/externalIPs] != "") 
    4. 
  
  
  
  4.  
    5. 
  
  
  
  5.   
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7. - rule: Create/Update ClusterIP Service with External IP 
    8. 
  
  
  
  8.  
    9. 
  
  
  
  9.   desc: Detect an attempt to modify a ClusterIP type service with external IP assigned (CVE-2020-8554)" 
    10. 
  
  
  
  10.  
    11. 
  
  
  
  11.   condition:kevt and service and kmodify and jevt.value[/responseObject/spec/type]=ClusterIP and service_with_external_IP 
    12. 
  
  
  
  12.  
    13. 
  
  
  
  13.   output: ClusterIP type service created/updated with external IP assigned (user=%ka.user.name service=%ka.target.name ns=%ka.target.namespace operation=%ka.verb ports=%ka.req.service.ports external IP=%jevt.value[/requestObject/spec/externalIPs]) 
    14. 
  
  
  
  14.  
    15. 
  
  
  
  15.   priority: WARNING 
    16. 
  
  
  
  16.  
    17. 
  
  
  
  17.   source: k8s_audit 
    18.

當有人使用外部IP地址創(chuàng)建或修改一個服務的話,F(xiàn)alco將會輸出下列安全事件:

總結

請記住,漏洞CVE-2020-8554是一個由于設計缺陷而無法修復的漏洞,因此我們建議廣大用戶應該使用適當?shù)陌踩ぞ邅韺ubernetes集群進行安全監(jiān)控。


網(wǎng)站欄目:如何使用Falco檢測漏洞CVE-2020-8554
當前地址:http://www.5511xx.com/article/cosdejj.html